工业控制系统信息安全防护思考.docVIP

工业控制系统信息安全防护思考 摘要：随着“工业4.0”时代的来临、“互联网+”的提出以及“两化融合”脚步的加快，工业控制系统也朝着智能化的方向迅速发展，越来越多的工业控制系统与办公网、互联网进行了连接，使得工业控制系统从原来封闭的“信息孤岛”变为了网络攻击的主要目标。本文针对当前我国工业控制系统存在的问题，提出了工业控制系统的安全防护的工作建议，为工业控制系统的安全防护建设工作提供可参考的理论依据。 关键词：工业控制系统；安全防护；监测预警；体系 随着“工业4.0”时代的来临、“互联网+”的提出以及“两化融合”脚步的加快，工业自动化与控制网络也向着分布式、智能化的方向迅速发展，越来越多基于TCP/IP的通信协议和接口被采用[1]。然而，在工业控制系统越来越开放的同时，也同步削弱了与外界的隔离和安全保护。因此，企业在享受网络互连带来的种种便利的同时也面临着各种各样的网络安全威胁，包括病毒、木马、黑客以及敌对势力。再加上工业控制系统的漏洞逐年增多，工业控制系统被攻击的可能性变为现实，一旦工业控制系统遭到攻击，不仅导致大规模的财产损失和人员伤亡，甚至可能威胁国家安全。 1工业控制系统的安全问题 （1）意识不到位、组织无保障对于工业控制系统信息安全问题，因为本厂、本行业没有出现过安全事件，上级领导和主管单位没有明确要求，国家和行业没有参考标准，多数企业表现出对工作没有紧迫性。企业没有中长期战略，没有预算开展本项工作，对于工业控制系统的信息安全，没有主责领导，没有保障团队，没有工作体系。（2）制度不完善、应急靠经验现在大部分行业还未形成完整的工业控制系统信息安全保障体系，缺乏工业控制系统规划、建设、运维和废止全生命周期的信息安需求，欠缺配套的管理体系、处理流程、人员责任等规定。对于安全事件预防、响应、处置及应急不够健全，缺乏应急响应组织和标准化的事件处理流程，发生信息安全事件后通常依靠经验判断安全事件影响范围，严重性、逐一排查，响应能力不高。（3）技术尚不足，产品靠国外目前，我国工业控制系统中的80%以上的PLC、操作系统、工业应用软件以及工业协议和标准接口依赖进口。国外产品不排除留有后门的可能性，以及工业控制系统暴露的安全漏洞逐年增多，给安全生产带来了威胁。（4）互联互通，却在裸奔随着OT技术和IT技术的不断融合，工业控制系统逐步与办公网、互联网进行了互联，但是缺少安全防护措施。各系统之间未进行边界防护，网络中存在的威胁无法感知，病毒木马入侵难以阻断，违规操作、误操作屡有发生，非法终端接入无法管控，安全事件不断发生。（5）人员欠专业，情报未共享工业控制系统信息安全是一个新兴的交叉领域，要求从事该领域的技术人员既要懂工业控制系统，又要有信息安全的知识，同时还要对网络知识有所了解。目前，市场上也现成的复合型人才较少，专业人才的缺乏对工业控制网络安全防护的发展形成明显的制约。 2加强工业控制系统安全防护的工作建议 2.1确定工业控制系统目录，实施分类分级管理。一是根据国家系列文件中关于工业控制系统的定义和范围，以及我国工业控制系统承载业务的重要程度，明确划定我国工业控制系统类别和范围，制定我国工业控制系统目录，建立针对工业控制系统核心控制器、工作站、服务器、网络设备和安全设备等资产的认定和清查登记制度，定期开展工业控制系统普查登记工作；二是尽快启动我国工业控制系统网络安全检查，从涉及国计民生的关键业务入手，理清可能影响关键业务运转的工业控制系统，准确掌握我国工业控制系统的安全状况，科学评估面临的网络安全风险，以查促管、以查促防、以查促改、以查促建，同时为构建工业控制系统分类分级安全管理保障体系提供基础性数据和参考；三是充分借鉴国外工业控制系统信息安全分类保护的先进经验和做法[2]，按照国内工业控制系统等级保护相关标准和规定要求，建立适用于我国不同工业控制系统的抗威胁能力分类分级安全管理体系，建立包括信息安全技术标准、信息安全保护计划、信息安全预案等在内的工业控制系统信息安全保护技术框架体系，根据系统特征提供针对性信息安全保护技术方案。2.2健全工业控制系统安全监管体系，加大监管力度。（1）建立健全安全监管工作机制成立我国工业控制系统管理委员会，建立高效有力的网络空间协调指挥机制；明确我国工业控制系统安全保护职能部门，具体负责我国工业控制系统的安全防护和管理工作，统筹协调网络与信息的安全保障工作；建立包括自评估、委托评估和检查评估等不同形式的工业控制系统信息安全风险评估制度。（2）加大工业控制系统安全产品监管与引导工作力度一是建立工控产品分类、优先级采购、测评认证、触发式调查和反调查等内容在内的供应链安全风险管理制度，对投入使用的工控产品进行安全准入认证；二是在当前工控领